Pianificazione dell'implementazione di Power BI: Defender for Cloud Apps per Power BI

  • Articolo

Nota

Questo articolo fa parte della serie di articoli sulla pianificazione dell'implementazione di Power BI. Questa serie è incentrata principalmente sull'esperienza Power BI in Microsoft Fabric. Per un'introduzione alla serie, vedere Pianificazione dell'implementazione di Power BI.

Questo articolo descrive le attività di pianificazione correlate all'implementazione di Defender for Cloud Apps in relazione al monitoraggio di Power BI. È destinato a:

  • Amministratori Power BI: amministratori responsabili della supervisione di Power BI nell'organizzazione. Gli amministratori di Power BI devono collaborare con i team di sicurezza delle informazioni e altri team pertinenti.
  • Center of Excellence, team IT e BI: altri responsabili della supervisione di Power BI nell'organizzazione. Potrebbe essere necessario collaborare con gli amministratori di Power BI, i team di sicurezza delle informazioni e altri team pertinenti.

Importante

Il monitoraggio e la prevenzione della perdita dei dati (DLP) è un'impresa significativa a livello di organizzazione. L'ambito e l'impatto sono molto più grandi rispetto a Power BI. Questi tipi di iniziativa richiedono finanziamenti, definizione delle priorità e pianificazione. Si prevede di coinvolgere diversi team interfunzionali nelle attività di pianificazione, utilizzo e supervisione.

È consigliabile seguire un approccio graduale e progressivo verso l'implementazione di Defender for Cloud Apps per il monitoraggio di Power BI. Per una descrizione dei tipi di fasi di implementazione da considerare, vedere Protezione delle informazioni per Power BI (fasi di implementazione).

Scopo del monitoraggio

Microsoft Defender for Cloud Apps (noto in precedenza come Microsoft Cloud App Security) è un Cloud Access Security Broker (CASB) che supporta varie modalità di distribuzione. Include un'ampia gamma di funzionalità che si estendono ben oltre l'ambito di questo articolo. Alcune funzionalità sono in tempo reale mentre altre non lo sono.

Ecco alcuni esempi di monitoraggio in tempo reale che è possibile implementare.

  • Bloccare i download dal servizio Power BI: è possibile creare criteri di sessione per bloccare determinate tipologie di attività dell'utente. Ad esempio, quando un utente tenta di scaricare un report dal servizio Power BI a cui è stata assegnata un'etichetta di riservatezza con elevate restrizioni, l'azione di download può essere bloccata in tempo reale.
  • Bloccare l'accesso al servizio Power BI da un dispositivo non gestito: è possibile creare criteri di accesso per impedire agli utenti di accedere a determinate applicazioni, a meno che non usino un dispositivo gestito. Ad esempio, quando un utente tenta di accedere al servizio Power BI dal telefono cellulare personale, questa azione può essere bloccata.

Ecco alcuni esempi di altre funzionalità che non sono in tempo reale.

  • Rilevare e notificare determinate attività nel servizio Power BI: è possibile creare criteri di attività per generare un avviso quando si verificano determinati tipi di attività. Ad esempio, quando si verifica un'attività amministrativa nel servizio Power BI (che indica che un'impostazione del tenant è stata modificata), è possibile ricevere un avviso tramite e-mail.
  • Monitorare le attività di sicurezza avanzate: è possibile visualizzare e monitorare gli accessi e le attività di sicurezza, le anomalie e le violazioni. Le notifiche possono essere generate per situazioni come attività sospette, posizioni impreviste o una nuova posizione.
  • Monitorare le attività degli utenti: è possibile visualizzare e monitorare le attività degli utenti. Ad esempio, è possibile assegnare a un amministratore di Power BI l'autorizzazione per visualizzare il log attività di Power BI, oltre alla frequenza di accesso dell'utente all'interno di Defender for Cloud Apps.
  • Rilevare e segnalare comportamenti anomali nel servizio Power BI: sono disponibili criteri predefiniti per il rilevamento delle anomalie. Ad esempio, quando un utente scarica o esporta contenuto dal servizio Power BI molto più spesso della normale consuetudine, è possibile ricevere un avviso tramite e-mail.
  • Trovare applicazioni non approvate: è possibile trovare applicazioni non approvate in uso all'interno dell'organizzazione. Ad esempio, ci si potrebbe preoccupare per gli utenti che condividono file (come ad esempio file Power BI Desktop o file Excel) in un sistema di condivisione file di terze parti. È possibile bloccare l'utilizzo di un'applicazione non approvata e poi contattare gli utenti per informarli sulle modalità appropriate per condividere e collaborare con altri utenti.

Suggerimento

Il portale in Defender for Cloud Apps è un luogo agevole per visualizzare attività e avvisi senza creare uno script per estrarre e scaricare i dati. Questo vantaggio comprende la visualizzazione dei dati dal log attività di Power BI.

Power BI è uno dei numerosi servizi e applicazioni che possono essere integrati con Defender for Cloud Apps. Se si usa già Defender for Cloud Apps per altri scopi, lo si può utilizzare anche per monitorare Power BI.

I criteri creati in Defender for Cloud Apps sono una forma di prevenzione della perdita dei dati (DLP). L'articolo Prevenzione della perdita dei dati per Power BI illustra i criteri di prevenzione della perdita dei dati per Power BI configurati nel portale di conformità di Microsoft Purview. È consigliabile utilizzare i criteri di prevenzione della perdita dei dati per Power BI con le funzionalità descritte in questo articolo. Anche se ci sono alcune sovrapposizioni concettuali, le funzionalità sono differenti.

Attenzione

Questo articolo è incentrato sulle funzionalità di Microsoft Defender for Cloud Apps che possono essere usate per monitorare e proteggere il contenuto di Power BI. In Defender for Cloud Apps sono disponibili molte altre funzionalità che non sono descritte in questo articolo. Accertarsi di collaborare con altri stakeholder e amministratori di sistema per prendere decisioni appropriate per tutte le applicazioni e i casi d'uso.

Prerequisiti per Defender for Cloud Apps per Power BI

A questo scopo, è necessario aver completato i passaggi di pianificazione a livello di organizzazione descritti nell'articolo Prevenzione della perdita dei dati per Power BI. Prima di procedere, è necessario avere chiarezza su:

  • Stato corrente: lo stato corrente della prevenzione della perdita dei dati nell'organizzazione. È necessario avere una conoscenza della misura in cui la prevenzione della perdita dei dati è già in uso e di chi sia il responsabile della relativa gestione.
  • Obiettivi e requisiti: gli obiettivi strategici per l'implementazione della prevenzione della perdita dei dati nell'organizzazione. Comprendere gli obiettivi e i requisiti permetterà di seguire le attività di implementazione.

In genere, la protezione delle informazioni è già implementata prima dell'implementazione della prevenzione della perdita dei dati. Se le etichette di riservatezza vengono pubblicate (come descritto nell'articolo Protezione delle informazioni per Power BI), possono essere usate in determinati criteri all'interno di Defender for Cloud Apps.

È possibile che sia già stata implementata la prevenzione della perdita dei dati per Power BI (descritta nell'articolo Prevenzione della perdita dei dati per Power BI). Queste funzionalità di prevenzione della perdita dei dati sono diverse dalle funzionalità gestite nel portale di conformità di Microsoft Purview. Tutte le funzionalità DLP descritte in questo articolo vengono gestite nel portale di Defender for Cloud Apps.

Decisioni e azioni chiave

È necessario prendere alcune decisioni chiave prima di essere pronti per configurare i criteri in Defender for Cloud Apps.

Le decisioni relative ai criteri di Defender for Cloud Apps devono supportare direttamente gli obiettivi e i requisiti per la protezione dei dati identificati in precedenza.

Tipo di criteri e attività

È necessario considerare le attività utente che si intendono monitorare, bloccare o controllare. Il tipo di criterio in Defender for Cloud Apps influenza:

  • Quello che si è in grado di realizzare.
  • Quali attività possono essere incluse nella configurazione.
  • Se i controlli verranno eseguiti in tempo reale o meno.

Criteri in tempo reale

I criteri di accesso e i criteri di sessione creati in Defender for Cloud Apps consentono di monitorare, bloccare o controllare le sessioni utente in tempo reale.

I criteri di accesso e i criteri di sessione consentono di:

  • Rispondere a livello di programmazione in tempo reale: rilevare, informare e bloccare la condivisione rischiosa, accidentale o inappropriata di dati sensibili. Queste azioni consentono di:
    • Migliorare la configurazione complessiva della sicurezza del tenant di Power BI, con automazione e informazioni.
    • Abilitare i casi d'uso analitici che coinvolgono dati sensibili in modo da poter essere controllati.
  • Fornire agli utenti notifiche contestuali: questa funzionalità consente di:

Per fornire controlli in tempo reale, i criteri di accesso e i criteri di sessione funzionano con Microsoft Entra ID, basandosi sulle funzionalità del proxy inverso di Controllo app per l'accesso condizionale. Le richieste e le risposte degli utenti, anziché passare attraverso l'app (in questo caso il servizio Power BI), passano attraverso un proxy inverso (Defender for Cloud Apps).

Il reindirizzamento non influisce sull'esperienza utente. Tuttavia, l'URL per il servizio Power BI passerà a https://app.powerbi.com.mcas.ms dopo aver configurato Microsoft Entra ID per il controllo app per l'accesso condizionale con Power BI. Inoltre, quando accedono al servizio Power BI, gli utenti ricevono un avviso che annuncia che l'app viene monitorata da Defender for Cloud Apps.

Importante

I criteri di accesso e i criteri di sessione operano in tempo reale. Altri tipi di criteri in Defender for Cloud Apps comportano un breve ritardo nell'invio di avvisi. Anche la maggior parte degli altri tipi di prevenzione della perdita dei dati e di controllo presenta una latenza, tra cui DLP per Power BI e il log attività di Power BI.

Criteri di accesso

Un criterio di accesso creato in Defender for Cloud Apps controlla se un utente può accedere a un'applicazione cloud come il servizio Power BI. Le organizzazioni che operano in settori altamente regolamentati dovranno occuparsi dei criteri di accesso.

Ecco alcuni esempi di come usare i criteri di accesso per bloccare l'accesso al servizio Power BI.

  • Utente imprevisto: è possibile bloccare l'accesso di un utente che non è membro di un gruppo di sicurezza specifico. Ad esempio, questo criterio può essere utile quando si dispone di un processo interno importante che monitora gli utenti approvati da Power BI tramite un gruppo specifico.
  • Dispositivo non gestito: è possibile bloccare l'accesso di un dispositivo personale non gestito dall'organizzazione.
  • Aggiornamenti necessari: è possibile bloccare l'accesso di un utente che usa un browser o un sistema operativo obsoleto.
  • Posizione: è possibile bloccare l'accesso proveniente da una località in cui non si dispone di uffici o di utenti nonché da un indirizzo IP sconosciuto.

Suggerimento

Se si hanno utenti esterni che accedono al tenant di Power BI o dipendenti che viaggiano di frequente, ciò può influire sulla modalità di definizione dei criteri di controllo dell'accesso. Queste tipologie di criteri sono in genere gestite dal dipartimento IT.

Criteri di sessione

Un criterio di sessione è utile quando non si vuole consentire o bloccare completamente l'accesso (operazione che può essere eseguita con un criterio di accesso secondo la modalità descritta in precedenza). In particolare, tale modalità consiste nel consentire l'accesso all'utente durante il monitoraggio o limitando ciò che si verifica attivamente durante la sessione.

Ecco alcuni esempi di modi in cui è possibile usare i criteri della sessione per monitorare, bloccare o controllare le sessioni utente nel servizio Power BI.

  • Bloccare i download: bloccare i download e le esportazioni quando un'etichetta di riservatezza specifica, come ad esempio con elevate restrizioni, viene assegnata all'elemento nel servizio Power BI.
  • Monitorare gli accessi: monitorare quando un utente, che soddisfa determinate condizioni, esegue l'accesso. Ad esempio, l'utente potrebbe essere membro di un gruppo di sicurezza specifico o utilizzare un dispositivo personale non gestito dall'organizzazione.

Suggerimento

La creazione di criteri di sessione (come ad esempio, impedire i download) per contenuto assegnato a una determinata etichetta di riservatezza, come ad esempio con restrizioni elevate, è uno dei casi d'uso più efficaci per i controlli di sessione in tempo reale con Power BI.

Con i criteri di sessione è possibile controllare anche i caricamenti di file. Tuttavia, in genere si vuole incoraggiare gli utenti di BI in modalità self-service a caricare il contenuto nel servizio Power BI (anziché condividere i file di Power BI Desktop). Pertanto, considerare attentamente il blocco dei caricamenti di file.

Elenco di controllo: quando si pianificano criteri in tempo reale in Defender for Cloud Apps, le decisioni chiave e le azioni includono:

  • Identificare i casi d'uso per bloccare l'accesso: compilare un elenco di scenari nel caso in cui sia necessario il blocco dell'accesso al servizio Power BI.
  • Identificare i casi d'uso per monitorare gli accessi: compilare un elenco di scenari nel caso in cui sia necessario il monitoraggio dell'accesso al servizio Power BI.
  • Identificare i casi d'uso per bloccare i download: determinare quando i download dal servizio Power BI devono essere bloccati. Determinare quali etichette di riservatezza devono essere incluse.

Criteri attività

I criteri attività in Defender for Cloud Apps non operano in tempo reale.

È possibile configurare un criterio attività per controllare gli eventi registrati nel log attività di Power BI. Il criterio può agire su una singola attività oppure su attività ripetute da parte di un singolo utente (quando si verifica un'attività specifica più di un determinato numero di volte entro un determinato numero di minuti).

È possibile utilizzare i criteri di attività per monitorare l'attività nel servizio Power BI in modi differenti. Ecco alcuni esempi di ciò che è possibile ottenere.

  • Contenuto con privilegi di visualizzazioni utente non autorizzate o impreviste: un utente che non è membro di un gruppo di sicurezza specifico (o un utente esterno) ha visualizzato un report con privilegi elevati fornito al consiglio di amministrazione.
  • Impostazioni aggiornamenti al tenant da parte di un utente non autorizzate o impreviste: un utente che non è membro di un gruppo di sicurezza specifico, come ad esempio il gruppo amministratori di Power BI, ha aggiornato le impostazioni del tenant nel servizio Power BI. È anche possibile scegliere di ricevere una notifica ogni volta che viene aggiornata un'impostazione del tenant.
  • Numero elevato di eliminazioni: un utente ha eliminato più di 20 aree di lavoro o di report in un periodo di tempo inferiore a 10 minuti.
  • Numero elevato di download: un utente ha scaricato più di 30 report in un periodo di tempo inferiore a cinque minuti.

Le tipologie di avvisi dei criteri di attività descritti in questa sezione vengono comunemente gestiti dagli amministratori di Power BI nell'ambito della supervisione di Power BI. Quando si configurano avvisi all'interno di Defender for Cloud Apps, è consigliabile concentrarsi su situazioni che rappresentano un rischio significativo per l'organizzazione. Questo perché ogni avviso deve essere esaminato e chiuso da un amministratore.

Avviso

Poiché gli eventi del log attività di Power BI non sono disponibili in tempo reale, non possono essere usati per il monitoraggio o il blocco in tempo reale. È tuttavia possibile usare le operazioni del log attività nei criteri attività. Accertarsi di collaborare con il team addetto alla sicurezza delle informazioni per verificare cosa sia tecnicamente fattibile prima di inoltrarsi nel processo di pianificazione.

Elenco di controllo: quando si pianificano i criteri di attività, le decisioni chiave e le azioni includono:

  • Identificare i casi d'uso per il monitoraggio delle attività: compilare un elenco di attività specifiche dal log attività di Power BI che rappresentano un rischio significativo per l'organizzazione. Determinare se il rischio è correlato a una singola attività o ad attività ripetute.
  • Coordinare le attività con gli amministratori di Power BI: discutere le attività di Power BI che verranno monitorate in Defender for Cloud Apps. Accertarsi che più amministratori non svolgano lo stesso lavoro.

Utenti interessati

Uno dei motivi interessanti per cui integrare Power BI con Defender for Cloud Apps consiste nel beneficiare dei controlli in tempo reale quando gli utenti interagiscono con il servizio Power BI. Questo tipo di integrazione richiede il controllo app per l'accesso condizionale in Microsoft Entra ID.

Prima di configurare il controllo app per l'accesso condizionale in Microsoft Entra ID, è necessario considerare quali utenti verranno inclusi. In genere, tutti gli utenti sono inclusi. Tuttavia, potrebbero esserci motivi per cui escludere utenti specifici.

Suggerimento

Quando si configurano i criteri di accesso condizionale, è probabile che l'amministratore di Microsoft Entra escluda account amministratore specifici. Questo approccio impedirà di bloccare gli amministratori. È consigliabile che gli account esclusi siano amministratori di Microsoft Entra anziché utenti standard di Power BI.

Alcuni tipi di criteri in Defender for Cloud Apps possono essere applicati a determinati utenti e gruppi. Nella maggior parte dei casi, questi tipi di criteri sono applicabili a tutti gli utenti. Tuttavia, è possibile che si verifichi una situazione in cui sia necessario escludere di proposito determinati utenti.

Elenco di controllo: quando si considerano quali utenti sono interessati, le decisioni chiave e le azioni includono:

  • Considerare quali utenti sono inclusi: verificare se tutti gli utenti verranno inclusi nei criteri di controllo app per l'accesso condizionale di Microsoft Entra.
  • Identificare gli account amministratore da escludere: determinare quali account amministratore specifici devono essere esclusi di proposito dai criteri di controllo app per l'accesso condizionale di Microsoft Entra.
  • Stabilire se determinati criteri di Defender si applicano a sottogruppi di utenti: per casi d'uso validi, valutare se devono essere applicabili a tutti o ad alcuni utenti (quando possibile).

Messaggistica utente

Dopo aver identificato i casi d'uso, è necessario considerare cosa deve accadere quando è presente un'attività utente che corrisponde ai criteri.

Quando un'attività viene bloccata in tempo reale, è importante fornire all'utente un messaggio personalizzato. Il messaggio è utile quando si desidera fornire maggiori indicazioni e consapevolezza agli utenti durante il normale flusso di lavoro. È più probabile che gli utenti leggano e assorbano le notifiche utente quando sono:

  • Specifiche: correlare il messaggio ai criteri semplifica la comprensione.
  • Attuabili: offrire un suggerimento per le operazioni da eseguire o su come trovare altre informazioni.

Alcuni tipi di criteri in Defender for Cloud Apps possono avere un messaggio personalizzato. Ecco due esempi di notifiche utente.

Esempio 1: è possibile definire un criterio di controllo della sessione in tempo reale che impedisce tutte le esportazioni e i download quando l'etichetta di riservatezza per l'elemento di Power BI (ad esempio un report o un modello semantico) è impostata su con restrizioni elevate. Il messaggio di blocco personalizzato in Defender for Cloud Apps indica: i file con un'etichetta con restrizioni elevate non possono essere scaricati dal servizio Power BI. Visualizzare il contenuto online nel servizio Power BI. Per eventuali domande, contattare il team di supporto di Power BI.

Esempio 2: è possibile definire un criterio di accesso in tempo reale che impedisca a un utente di accedere al servizio Power BI quando non usa un computer gestito dall'organizzazione. Il messaggio di blocco personalizzato in Defender for Cloud Apps indica: il servizio Power BI potrebbe non essere accessibile da un dispositivo personale. Si prega di usare il dispositivo fornito dall'organizzazione. Per eventuali domande, contattare il team di supporto di Power BI.

Elenco di controllo: quando si considerano i messaggi utente in Defender for Cloud Apps, le decisioni chiave e le azioni includono:

  • Decidere quando è necessario un messaggio di blocco personalizzato: per ogni criterio che si intende creare, determinare se sarà necessario un messaggio di blocco personalizzato.
  • Creare messaggi di blocco personalizzati: per ogni criterio, definire il messaggio da mostrare agli utenti. Pianificare la correlazione di ogni messaggio con il criterio in modo che sia specifico e attuabile.

Avvisi dell'amministratore

L'invio di avvisi è utile quando si vuole comunicare agli amministratori della sicurezza e della conformità che si è verificata una violazione di un criterio. Quando si definiscono i criteri in Defender for Cloud Apps, valutare se devono essere generati avvisi. Per ulteriori informazioni, vedere tipi di avviso in Defender for Cloud Apps.

Facoltativamente, è possibile configurare un avviso per inviare un'e-mail a più amministratori. Quando è necessaria un'e-mail di avviso, è consigliabile usare un gruppo di sicurezza abilitato alla posta elettronica. Ad esempio, è possibile usare un gruppo denominato Avvisi amministratori di sicurezza e conformità.

Per situazioni con priorità elevata, è possibile inviare avvisi tramite SMS. È anche possibile creare un'automazione personalizzata degli avvisi e flussi di lavoro tramite l'integrazione con Power Automate.

È possibile configurare ogni avviso con gravità bassa, media o alta. Il livello di gravità è utile nell'assegnazione della priorità alla visualizzazione degli avvisi aperti. Un amministratore dovrà visualizzare ogni avviso e intervenire di conseguenza. Un avviso può essere chiuso come vero positivo, falso positivo o benigno.

Ecco due esempi di avvisi amministratore.

Esempio 1: è possibile definire un criterio di controllo della sessione in tempo reale che impedisce tutte le esportazioni e i download quando l'etichetta di riservatezza per l'elemento di Power BI (ad esempio un report o un modello semantico) è impostata su con restrizioni elevate. È previsto un messaggio di blocco personalizzato utile per l'utente. Tuttavia, in questa situazione non è necessario generare un avviso.

Esempio 2: è possibile definire un criterio di attività che tenga traccia del fatto che un utente esterno abbia visualizzato un report con privilegi elevati fornito al consiglio di amministrazione. È possibile configurare un avviso di gravità elevata per accertarsi che l'attività venga esaminata tempestivamente.

Suggerimento

Nell'esempio 2 sono evidenziate le differenze tra protezione delle informazioni e sicurezza. I criteri di attività consentono di identificare gli scenari in cui gli utenti self-service BI hanno l'autorizzazione a gestire la sicurezza del contenuto. Tuttavia, questi utenti possono intraprendere azioni non supportate dai criteri dell'organizzazione. È consigliabile configurare questi tipi di criteri solo in circostanze specifiche, quando le informazioni sono particolarmente sensibili.

Elenco di controllo: quando si valuta l'invio di avvisi agli amministratori in Defender for Cloud Apps, le decisioni e le azioni principali includono:

  • Decidere quando sono necessari gli avvisi: per ogni criterio che si intende creare, decidere quali situazioni giustificano l'uso degli avvisi.
  • Chiarire ruoli e responsabilità: determinare le aspettative e l'azione da intraprendere quando viene generato un avviso.
  • Determinare chi riceverà gli avvisi: decidere quali amministratori di sicurezza e conformità esamineranno ed eseguiranno gli avvisi aperti. Verificare che le autorizzazioni e i requisiti di licenza siano soddisfatti per ogni amministratore che userà Defender for Cloud Apps.
  • Creare un nuovo gruppo: se necessario, creare un nuovo gruppo di sicurezza abilitato alla posta elettronica da usare per le e-mail di avviso.

Convenzione di denominazione dei criteri

Prima di creare criteri in Defender for Cloud Apps, è consigliabile creare una convenzione di denominazione. Una convenzione di denominazione è utile quando sono presenti molte tipologie di criteri per molte tipologie di applicazioni. È utile anche quando gli amministratori di Power BI vengono coinvolti nel monitoraggio.

Suggerimento

Valutare la possibilità di concedere a Defender for Cloud Apps l'accesso agli amministratori di Power BI. Usare il ruolo di amministratore, che consente di visualizzare il log attività, gli eventi di accesso e gli eventi correlati al servizio Power BI.

Considerare un modello di convenzione di denominazione che includa i segnaposto dei componenti: <Applicazione> - <Descrizione> - <Azione> - <Tipo di criterio>

Ecco alcuni esempi di convenzioni di denominazione.

Tipo di criterio In tempo reale Nome del criterio
Criteri della sessione Power BI - Etichetta con restrizioni elevate - Bloccare i download - TR
Criteri di accesso Tutti - Dispositivo non gestito - Bloccare l'accesso - TR
Criteri attività No Power BI - Attività amministrativa
Criteri attività No Power BI - Report esecutivo visualizzazioni utente esterne

I componenti della convenzione di denominazione includono:

  • Applicazione: il nome dell'applicazione. Il prefisso di Power BI consente di raggruppare tutti i criteri specifici di Power BI quando vengono ordinati. Tuttavia, alcuni criteri verranno applicati a tutte le app cloud anziché solo al servizio Power BI.
  • Descrizione: la parte descrittiva del nome è quella che varia di più. Può includere le etichette di riservatezza interessate o il tipo di attività monitorata.
  • Azione: (facoltativo) Negli esempi, un criterio di sessione porta a Bloccare i download. In genere, un'azione è necessaria solo quando si applicano criteri in tempo reale.
  • Tipo di criterio: (facoltativo) Nell'esempio, il suffisso TR indica che si tratta di un criterio in tempo reale. Designare se è in tempo reale o meno aiuta a gestire le aspettative.

Esistono altri attributi che non devono essere inclusi nel nome del criterio. Questi attributi includono il livello di gravità (basso, medio o alto) e la categoria (come ad esempio il rilevamento delle minacce o la prevenzione della perdita dei dati). Entrambi gli attributi possono essere filtrati nella pagina degli avvisi.

Suggerimento

È possibile rinominare un criterio in Defender for Cloud Apps. Tuttavia, non è possibile rinominare i criteri di rilevamento anomalie predefiniti. Ad esempio, la Condivisione di report di Power BI sospetti è un criterio predefinito che non può essere rinominato.

Elenco di controllo: quando si considera la convenzione di denominazione dei criteri, le decisioni chiave e le azioni includono:

  • Scegliere una convenzione di denominazione: usare i primi criteri per stabilire una convenzione di denominazione coerente che sia semplice da interpretare. Concentrarsi sull'uso di un prefisso e un suffisso coerenti.
  • Documentare la convenzione di denominazione: fornire la documentazione di riferimento sulla convenzione di denominazione dei criteri. Accertarsi che gli amministratori di sistema siano a conoscenza della convenzione di denominazione.
  • Aggiornare i criteri esistenti: aggiornare i criteri di Defender esistenti affinché siano conformi alla nuova convenzione di denominazione.

Requisiti di licenza

Per monitorare un tenant di Power BI, è necessario disporre di licenze specifiche. Gli amministratori devono avere una delle licenze seguenti.

  • Microsoft Defender for Cloud Apps: fornisce le funzionalità di Defender for Cloud Apps per tutte le applicazioni supportate (incluso il servizio Power BI).
  • Office 365 Cloud App Security: fornisce funzionalità di Defender for Cloud Apps per le app di Office 365 che fanno parte della famiglia di prodotti Office 365 E5 (incluso il servizio Power BI).

Inoltre, se gli utenti devono usare criteri di accesso in tempo reale o criteri di sessione in Defender for Cloud Apps, avranno bisogno di una licenza Microsoft Entra ID P1.

Suggerimento

Se sono necessari chiarimenti sui requisiti di licenza, rivolgersi al team dell'account Microsoft.

Elenco di controllo: quando si valutano i requisiti di licenza, le decisioni chiave e le azioni includono:

  • Esaminare i requisiti di licenza dei prodotti: accertarsi di aver esaminato tutti i requisiti di licenza per l'uso di Defender for Cloud Apps.
  • Acquistare licenze aggiuntive: se applicabile, acquistare altre licenze per sbloccare le funzionalità che si intende usare.
  • Assegnare licenze: assegnare una licenza a ognuno degli amministratori di sicurezza e conformità che useranno Defender for Cloud Apps.

Documentazione e formazione degli utenti

Prima di implementare Defender for Cloud Apps, è consigliabile creare e pubblicare la documentazione degli utenti. Una pagina di SharePoint o una pagina wiki nel portale centralizzato possono essere ideali in quanto sono facili da gestire. Anche un documento caricato in una raccolta condivisa o in un sito di Teams è un buon approccio.

L'obiettivo della documentazione è quello di fornire un'esperienza utente senza problemi. La preparazione della documentazione utente consentirà anche di accertarsi di aver preso in considerazione tutti gli elementi.

Includere informazioni su chi contattare quando gli utenti hanno domande o problemi tecnici.

Le domande frequenti e gli esempi sono particolarmente utili per la documentazione degli utenti.

Elenco di controllo: quando si preparano la documentazione e il training degli utenti, le decisioni e le azioni principali includono:

  • Aggiornare la documentazione per creatori e consumatori di contenuti: aggiornare le domande frequenti e gli esempi in modo che includano informazioni pertinenti sui criteri in cui gli utenti potrebbero imbattersi.
  • Pubblicare la Richiesta supporto: accertarsi che gli utenti sappiano come ottenere assistenza quando riscontrano qualcosa di imprevisto o che non capiscono.
  • Determinare se sia necessario un training specifico: creare o aggiornare il training utente per includere informazioni utili, soprattutto se è necessario un requisito normativo.

Supporto per gli utenti

È importante verificare chi sarà responsabile del supporto utente. È comune che l'uso di Defender for Cloud Apps per monitorare Power BI venga eseguito da un help desk IT centralizzato.

Potrebbe essere necessario creare la documentazione per l'help desk e condurre alcune sessioni di trasferimento delle conoscenze per garantirei che l'help desk sia preparato a rispondere alle richieste di supporto.

Elenco di controllo: quando ci si prepara per la funzione di supporto degli utenti, le decisioni e le azioni principali includono:

  • Identificare chi fornirà supporto per gli utenti: quando si definiscono ruoli e responsabilità, accertarsi di tenere conto del modo in cui gli utenti riceveranno assistenza per i problemi che potrebbero verificarsi.
  • Accertarsi che il team di supporto utenti sia preparato: creare la documentazione e condurre sessioni di trasferimento delle informazioni per garantire che l'help desk sia preparato a supportare tali procedure.
  • Comunicare tra team: discutere dei messaggi che gli utenti potrebbero visualizzare e del processo per risolvere gli avvisi aperti con gli amministratori di Power BI e il Centro di eccellenza. Assicurarsi che tutti gli utenti coinvolti siano preparati per le potenziali domande degli utenti di Power BI.

Riepilogo dell'implementazione

Dopo aver preso le decisioni e aver preparato un piano di implementazione, è il momento di avviare l'implementazione.

Se si intende usare criteri in tempo reale (criteri di sessione o criteri di accesso), la prima operazione consiste nel configurare il controllo app per l'accesso condizionale di Microsoft Entra. È necessario configurare il servizio Power BI come app di catalogo che verrà controllata da Defender for Cloud Apps.

Quando viene configurato e testato il controllo app per l'accesso condizionale di Microsoft Entra, è possibile creare criteri in Defender for Cloud Apps.

Importante

È consigliabile presentare questa funzionalità prima a un numero ridotto di utenti di prova. Esiste anche una modalità di solo monitoraggio che potrebbe risultare utile per presentare questa funzionalità in modo ordinato.

L'elenco di controllo seguente include un elenco riepilogato dei passaggi di implementazione end-to-end. Molti dei passaggi includono altri dettagli illustrati nelle sezioni precedenti di questo articolo.

Elenco di controllo: quando si implementa Defender for Cloud Apps con Power BI, le decisioni chiave e le azioni includono:

  • Verificare lo stato e gli obiettivi correnti: accertarsi di avere chiarezza sullo stato corrente della prevenzione della perdita dei dati per l'uso con Power BI. Tutti gli obiettivi e i requisiti per l'implementazione della DLP devono essere chiari e attivamente usati per guidare il processo decisionale.
  • Portare avanti il processo decisionale: esaminare e discutere tutte le decisioni necessarie. Questa attività deve essere eseguita prima di configurare qualsiasi elemento nell'ambiente di produzione.
  • Esaminare i requisiti di licenza: assicurarsi di comprendere i requisiti di licenza dei prodotti e delle licenze utente. Procurarsi e assegnare più licenze, se necessario.
  • Pubblicare la documentazione dell'utente: pubblicare le informazioni che dovranno rispondere alle domande e chiarire le aspettative degli utenti. Fornire indicazioni, comunicazioni e formazione agli utenti, in modo che siano preparati.
  • Creare un criterio di accesso condizionale di Microsoft Entra: creare un criterio di accesso condizionale in Microsoft Entra ID per abilitare i controlli in tempo reale per il monitoraggio del servizio Power BI. In un primo momento, abilitare i criteri di accesso condizionale di Microsoft Entra per alcuni utenti di prova.
  • Impostare Power BI come app connessa in Defender for Cloud Apps: aggiungere o verificare che Power BI venga visualizzato come app connessa in Defender for Cloud Apps per il controllo delle app per l'accesso condizionale.
  • Eseguire test iniziali: accedere al servizio Power BI come utente di prova. Verificare che l'accesso funzioni. Verificare anche che il messaggio visualizzato informi che il servizio Power BI è monitorato da Defender for Cloud Apps.
  • Creare e testare un criterio in tempo reale: usando i casi d'uso già compilati, creare criteri di accesso o criteri di sessione in Defender for Cloud Apps.
  • Eseguire test iniziali: come utente di prova, eseguire un'azione che attiverà i criteri in tempo reale. Verificare che l'azione sia bloccata (se necessario) e che vengano visualizzati i messaggi di avviso previsti.
  • Raccogliere feedback degli utenti: ottenere feedback sul processo e sull'esperienza utente. Identificare aree confuse, risultati imprevisti con tipi di informazioni sensibili e altri problemi tecnici.
  • Proseguire con versioni iterative: aggiungere gradualmente altri criteri in Defender for Cloud Apps fino a quando non vengono risolti tutti i casi d'uso.
  • Esaminare i criteri predefiniti: individuare i criteri di rilevamento anomalie predefiniti in Defender for Cloud Apps (con Power BI nel nome). Aggiornare le impostazioni di avviso per i criteri predefiniti, se necessario.
  • Procedere con un'implementazione più ampia: continuare a usare il piano di implementazione iterativo. Aggiornare i criteri di accesso condizionale di Microsoft Entra da applicare a un gruppo più ampio di utenti, in base alle esigenze. Aggiornare i singoli criteri in Defender for Cloud Apps per applicarli a un set più ampio di utenti, in base alle esigenze.
  • Monitorare, ottimizzare e regolare: investire risorse per un controllo frequente degli avvisi e dei log di controllo corrispondenti ai criteri. Esaminare eventuali falsi positivi e modificare i criteri quando necessario.

Suggerimento

Questi elementi dell'elenco di controllo sono riepilogati a scopo di pianificazione. Per altri dettagli su questi elementi dell'elenco di controllo, vedere le sezioni precedenti di questo articolo.

Per informazioni più specifiche sulla distribuzione di Power BI come applicazione di catalogo in Defender for Cloud Apps, vedere la procedura per distribuire le app di catalogo.

Monitoraggio continuo

Dopo aver completato l'implementazione, è necessario indirizzare l'attenzione al monitoraggio, all'applicazione e alla modifica dei criteri di Defender for Cloud Apps in base all'utilizzo.

Gli amministratori e gli amministratori di sicurezza e conformità di Power BI dovranno collaborare occasionalmente. Per il contenuto di Power BI sono disponibili due gruppi di destinatari per il monitoraggio.

  • Amministratori di Power BI: oltre agli avvisi generati da Defender for Cloud Apps, le attività del log attività di Power BI vengono visualizzate anche nel portale di Defender for Cloud Apps.
  • Amministratori di sicurezza e conformità: gli amministratori di sicurezza e conformità dell'organizzazione useranno in genere gli avvisi di Defender for Cloud Apps.

È possibile fornire agli amministratori di Power BI una visualizzazione limitata in Defender for Cloud Apps. Usa un ruolo con ambito per visualizzare il log attività, gli eventi di accesso e gli eventi correlati al servizio Power BI. Questa funzionalità è utile per gli amministratori di Power BI.

Elenco di controllo: quando si monitora Defender for Cloud Apps, le decisioni e le azioni principali includono:

  • Verificare ruoli e responsabilità: assicurarsi di essere chiari su chi è responsabile di quali azioni. Informare e comunicare con gli amministratori di Power BI se saranno responsabili di qualsiasi aspetto del monitoraggio.
  • Gestire l'accesso per gli amministratori di Power BI: aggiungere gli amministratori di Power BI al ruolo di amministratore con ambito in Defender for Cloud Apps. Comunicare con loro in modo che siano consapevoli di ciò che possono fare con queste informazioni aggiuntive.
  • Creare o convalidare il processo per l'attività di revisione: accertarsi che gli amministratori di sicurezza e conformità abbiano chiare aspettative per quanto riguarda la revisione regolare dell'Esplora attività.
  • Creare o convalidare il processo per la risoluzione degli avvisi: accertarsi che gli amministratori di sicurezza e conformità dispongano di un processo per analizzare e risolvere gli avvisi aperti.

Contenuto correlato

Nell'articolo successivo di questa serie saranno fornite informazioni sul controllo per la protezione delle informazioni e la prevenzione della perdita dei dati per Power BI.